패스워드 없는 세상이 오고 있다

본문은 위시켓과 김서영 번역가가 함께 만든 해외 콘텐츠 기반 번역문입니다. 기술 분야를 다루는 글로벌 커뮤니티 ‘Hacker Noon’의 글을 번역했습니다. 작가는 이르판 샤켈(Irfan Shakeel)로 사이버 보안 연구원이자 ehacking.net의 CEO입니다. 본문은 패스워드 없는 인증 방식의 장점과 이것이 왜 필요한지에 대한 내용으로 앞으로 보안 문제를 어떻게 개선할 수 있을지 함께 생각해볼 수 있겠습니다.

보안 전문가들은 사이버 위협 때문에 패스워드 인증을 경멸합니다. 사용자들조차도 암호를 기억하기 어렵기 때문에 패스워드 인증을 좋아하지 않습니다. 우리의 이러한 불만에도 패스워드는 만들어진 이후로 주된 인증 방법이었으며, 계속 사용되고 있습니다. 이 글은 패스워드 없는 인증이라는 주제를 심층적으로 다루고 있습니다. 여러분은 패스워드 없는 인증의 보안상 이점과 회사들이 이 기술을 적용해야 하는 이유를 함께 확인할 수 있습니다.

패스워드 없는 인증 방법

패스워드 없는 인증은 암호 입력이 필요 없는 인증 메커니즘을 말합니다. 어떤 것도 암호화되거나 디바이스와 서버 사이에 전송될 필요가 없고, 통합 인증 시나리오를 이용하지도 않습니다. 그리고 개인 정보가 존재하지 않기 때문에 해커는 이에 접근할 수도 없습니다. 패스워드 없는 인증의 실행은 약간 더 복잡하며, 인증 방법은 아래와 같습니다. 

1. 생체인식 기반의 인증 (예: 지문 인식과 얼굴 인식 등) 

2. 토큰 인증 (*토큰이 이메일이나 문자를 통해 보내집니다) 

3. 또는 매직 링크[1]  

패스워드 없는 인증 방법들은 나름의 장점과 단점을 가지고 있습니다. 사용자들은 생체인식 기술로 그들의 핸드폰과 애플리케이션을 해제하는데 익숙해졌습니다. 그러나 데이터 손상으로 개인 생체 정보 유출에 대한 우려는 이 기술이 널리 사용되는 것을 방해할 수 있습니다. 패스워드 인증과는 반대로 매직 링크와 토큰은 좋은 보안 경험을 전달합니다. 매직 링크와 토큰 어느 쪽도 개인의 신원을 확인하지는 않습니다. 

패스워드 없는 인증은 다음과 같은 이점이 있습니다: 

1. 사용자들은 패스워드를 기억하지 않아도 되어 서비스와 앱에 빠르게 접속합니다.
2. 직원들과 고객들은 결제 인증이 암호를 제거하면서 훨씬 좋아졌다고 생각합니다. (LastPass에 따르면, IT업계 종사들은 아래 내용에 동의했습니다.)
3. 95%는 패스워드 인증은 리스크가 발생한다고 생각합니다.
4. 85%는 회사에서 매일 사용하는 패스워드의 수를 줄이는데 동의합니다.
5. 업무 공간에서 더 많은 웹 서비스와 앱을 이용하게 되어, 주기적인 패스워드 모니터링이 복잡해졌습니다.
6. 브라우저가 패스워드를 저장할 수 있더라도 대부분의 회사들은 주기적으로 패스워드 변경을 장려하는 정책을 가지고 있습니다. 패스워드를 삭제하는 것은 암호 복구 과정을 바꾸어 일의 생산성이 상승합니다. 보통 패스워드 관리는 IT팀이 담당하고, 보안을 위한 패스워드 주기적 변경, 직원 및 고객의 변동 등 여러 보안 관련 업무를 처리하기 위해 대기해야 합니다. Okta에 따르면, 패스워드를 재설정하는데 직원 1인 당 70불의 비용이 듭니다.
7. 패스워드는 자주 보안 손상으로 위태로워지기 마련이며, 비밀번호를 여러 나쁜 의도로 악용할 소지가 있는 해커들의 손에 들어가기도 합니다. 보고서에 따르면, 피싱의 32%와 탈취된 개인 정보의 29%는 보안 사고에 해당됩니다. 패스워드와 관련된 보안상 취약성은 패스워드를 없애면 감소합니다. 만약 직장인들을 해킹할 패스워드가 없다면, 피싱 공격은 그 가치를 잃게 될 것입니다.

왜 패스워드 없는 인증을 도입해야 할까요?

가트너의 VP분석가 Ant Allan는 이렇게 예견했습니다.

글로벌 대기업의 60%와 중견기업의 90%가 2018년, 5%에 불과했던 패스워드 없는 인증을 2022년에는 50% 넘게 실행할 것으로 예측합니다.

Security Magazine에 따르면,

비즈니스의 92%는 패스워드 없는 인증이 접목될 것으로 봅니다.

만일 여러분의 회사가 개인 정보와 연결된 보안 위협을 줄이고 싶다면, 암호 없는 인증은 좋은 선택이 될 것입니다. 차세대 보호막이자, 보안을 위해 회사는 모든 고객과 회사 시스템에 적용할 수 있는 보안 통제를 실행해야 합니다. 이것에 대응하기 위해, 어떤 회사들은 zero-trust 보안[2] 전략을 실행 중이며, 접속을 시도하는 모든 것에 대해 신원을 확인합니다. 이 보안 모델은 권한 여부를 확인하기 전까지 어떤 접속에도 쉽게 허용되지 않으며 사용자 효율성에 영향을 주지 않습니다.  암호 입력 없는 인증 방식은 사용자 친화적이고, 사용하기 쉽고, 안전한 방법으로 고객의 신뢰를 구축하는데 중요한 요소가 됩니다. 회사들은 사생활 보호를 개선하고, 공격을 줄이는 등 관련 비용을 줄이기 위해 더 이상 패스워드를 유지할 필요가 없게 되었습니다.

회사에서 암호 없는 인증의 실행은 다음과 같은 신기술 덕에 가능해졌습니다:

• 웹 인증 API (WebAuthN) [3]
• 신속한 온라인 인증 (FIDO2) [4]
• 이중 인증 (MFA)[5]
• 통합 인증 (SSO)[6]
• 시스템 신뢰 기반의 기술

노트북과 스마트폰에 생체인식 기술 적용이 일반화되어, 이젠 전문 영역에서도 패스워드 대체가 증가했습니다. 마이크로소프트는 조직 내 암호 없는 인증 승인에 많은 관심을 가졌습니다. 윈도우 10을 출시했을 땐, 회사 내 생체 정보 활용을 촉구하기 위해 사용자가 패스워드보다 Window Hello 지문인식으로 마이크로소프트 계정에 접속할 수 있게 했습니다.  

마무리하며

암호 없는 인증 방법은 보안과 고객 경험을 개선하지만, 내부 개발 관리를 필요로 합니다. 우선 위험 부담이 적은 커뮤니티 등에서 시작하여, 암호 없는 인증의 장점을 설명해보세요. 사용자들이 암호 없는 인증에 만족할 때까지 암호 없는 인증 방법과 통합한 MFA를 실행하고, 점차 암호를 없애다 보면 암호에 대한 필요성도 서서히 없어지기 시작할 것입니다. 

진보하는 과정 중에는 완벽함을 내세우지 마세요.

패스워드 없는 인증으로 가는 모든 단계는 여러분의 보안 상태를 개선해나가는 과정입니다.

- 마이크로소프트 최고책임자, Bret Arsenault -

[1] 비밀번호가 필요 없고 문자, 이메일에서 받은 매직 링크를 클릭하여 로그인이 실행됩니다. 일회성 인증이라 일정 시간 이후 만료됩니다.

[2] 모든 애플리케이션을 보호하는 사용자 지정 보안 정책과 함께 인증 및 각 액세스 시도에 대한 지속적인 모니터링을 통해 사용자와 장치에 대한 신뢰를 구축하는 보안 모델.

[3]  WebAuthn(Web Authentication)는 생체 인증(안면, 홍채) 및 보안 키 인증 방식으로 크롬, 엣지, 파이어폭스 등 웹 브라우저에서 사용하고 있습니다. 

[4] FIDO(Fast IDentity Online)는 기존에 사용하던 ID와 패스워드 입력이 아닌 지문, 홍채, 얼굴인식, 목소리, 정맥을 이용한 생체 정보를 이용합니다. 현재 생체 정보 전송의 위험의 한계를 극복하기 위해 인증 프로토콜과 인증 수단을 분리하여 보안성과 안정성을 높이고 있습니다. 

[5] MFA(Multi Factor Authentication)의 약자입니다. 은행 로그인 시, OTP를 사용하는 것과 동일합니다. 이전에는 보안카드를 발급했지만 도용되기 쉬운 정보였습니다. 따라서 "초단위 또는 분단위로 바뀌는 숫자"로 인증번호를 대체하는 것을 말합니다.

[6] 한 번의 로그인으로 여러 서비스를 이용하는 인증을 말합니다. (예: 직원이 IdP 로그인으로 그룹웨어, ERP, MES등에 한번에 접속이 가능합니다.) 암호 입력 시간을 줄여줍니다.